Come rilevare se i file sono stati salvati o copiati su un'unità USB?

Naviga le tue risposte
6

Come posso sapere se i file del mio computer sono stati scritti / copiati / spostati su un dispositivo di archiviazione USB? Voglio sapere se esiste una soluzione che funzionerebbe in un sistema che non ha alcun monitoraggio / registrazione dell'attività USB esplicitamente abilitato e dopo che i file sono già stati scritti.

Ho già utilizzato un software che legge le informazioni dalla posizione del registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Ma dice solo il nome del venditore, l'ora connessa e altri artefatti.

    
posta Saladin 27.10.2012 - 14:02
fonte

3 risposte

12

Questo dipenderà interamente dalla registrazione che hai abilitato. È facile dopo l'evento dirti di registrare tutte le copie dei file ecc., Ma se non lo hai registrato, non sarai in grado di recuperare tali informazioni.

    
risposta data 27.10.2012 - 15:52
fonte
6

In primo luogo, cerca di ottenere le informazioni sui dispositivi che sono stati collegati al computer dalle seguenti posizioni 

C:\Windows\inf\setupapi.dev

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR 
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB

Sii molto particolare quando controlli la chiave dei dispositivi montati poiché queste informazioni saranno necessarie nelle analisi future

Analizza il file NTUSER.DAT associato a quel particolare utente in questione. Vai a NTUSER.DAT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 e cerca il GUID del dispositivo.

Modulo II:

Se si utilizza Encase o FTK per cercare parole chiave (nome del file in questione), analizzare i file .lnk associati alla parola chiave. Analizza il .lnk usando FTK o Encase che ti darà il percorso e il timestamp. Se il percorso si riferisce a una USB, provare a far corrispondere il SID dell'utente, il numero di serie USB e le informazioni sul timestamp.

Puoi anche analizzare i record MFT e $ Logfile che ti forniscono ulteriori informazioni sulla struttura del file.

Nota: i file .lnk verranno creati solo se il sospetto apre il file in questione dall'unità USB.

    
risposta data 10.12.2012 - 09:24
fonte
-2

Aggiornamento 9-21-2013

Se stai ancora osservando questo argomento, o vuoi tornare ad esso, allora potresti essere interessato ad ascoltare il podcast CyberSpeak per conoscere la ricerca di uno studio legale / ricercatore forense. Ti suggerisco di ascoltare l'intero episodio, ma se vuoi verificare la sua rilevanza, allora penso che intorno alle 22: 00/23: 00 dicono alcuni punti che sono rilevanti per il tuo sforzo.

Lo strumento, chiamato Registry Recon , è uno strumento commerciale e non posso garantire per questo poiché non l'ho ancora usato da solo. Inseguilo a tuo rischio e pericolo; tuttavia, indicherò la rivendicazione del punto elenco nelle note sulla versione .

"[..] Reports USB Storage Devices (see when they were attached over time!) and RecentDocs"

Chiarimenti relativi al post originale

Ho lasciato il post originale esattamente com'era, ma vorrei dire che non ho mai voluto bocciare nessun prodotto commerciale né ho intenzione di promuovere me stesso o prodotti di terze parti che menzioni.

Non mi scuso per il mio senso dell'umorismo, ma rimpiango la possibilità che abbia offeso qualcuno. Non è importante quello che pensi di me; piuttosto è importante per me rispettare la cultura e il comportamento di questo forum. Io rispetto la comunità qui e per questo motivo mi scuso.

Grazie ancora, @Gilles , per i tuoi commenti.

Post originale

Ho esaminato un'offerta commerciale denominata "Spector 360" che parlava di questo scenario esatto. Come puoi immaginare, ha richiesto l'installazione di agenti su ciascun computer monitorato. Onestamente, non ero soddisfatto dell'impatto del sistema che gli agenti avevano sulle prestazioni del sistema. L'abilitazione del controllo / registrazione ha anche un impatto sulle prestazioni del sistema. Ci si può aspettare da quasi tutte le soluzioni disponibili per affrontare lo scenario che si sta descrivendo.

Prima di scoprire Spector 360, conoscevo uno strumento di amministrazione remota (RAT) che veniva utilizzato in piccola parte da criminali. La società che lo crea è legittima e non è stata necessariamente responsabile delle azioni dei criminali; il mio punto è che ci sono molte applicazioni RAT / Spyware / Monitoring che forniranno le funzionalità necessarie per realizzare ciò che desiderate. Tuttavia, dovresti aspettarti che l'attrito di AV venga installato su quei sistemi, indipendentemente dalla legittimità della società che ha creato l'applicazione. Sono tutti capaci di essere usati in modo malevolo.

Per quanto riguarda la ricerca scientifica di prove ... forse, ma questa è una possibilità remota. Non ci conterei davvero. Ci sarebbero artefatti creati se le condizioni del sistema fossero corrette. Questi artefatti verrebbero anche erosi in base alle condizioni del sistema, all'utilizzo e al tempo trascorso dall'evento.

stai provando per determinare se qualcuno ti ha rubato dei file o ti stai semplicemente chiedendo? Se è quest'ultimo, allora dovresti davvero rivolgere la tua attenzione verso le soluzioni di registrazione / auditing. Se la tua mano è stata forzata, dovresti semplicemente uccidere chi sospetti di aver rubato i file prima che possano distribuirli / consegnarli. Mettere a terra il loro spazio vitale e le aree circostanti darebbe un po 'più di sicurezza che tutti i dati rubati siano stati distrutti.

Naturalmente, il mio ultimo suggerimento è illeggibile e sto solo scherzando sul fatto di portare avanti misure così drastiche. Se pensi di aver avuto una violazione della sicurezza e vuoi parlarne con qualcuno, puoi contattarmi e passerò qualche tempo ad aiutarti il più possibile.

    
risposta data 29.10.2012 - 00:06
fonte

Leggi altre domande sui tag

C'è un modo per identificare l'host di una VM malevola da tutta la rete? Puoi descrivere uno scenario di vita reale sfruttando bit appiccicosi?